Portaria DENATRAN nº 236 DE 29/12/2014

Norma Federal - Publicado no DO em 30 dez 2014

Regulamenta o credenciamento de empresas de tecnologia para geração de códigos de segurança cifrados (CSC) inseridos em códigos bidimensionais de resposta rápida a serem impressos em documentos e certificados emitidos em conformidade com as Resoluções do CONTRAN e Portarias do DENATRAN, para garantia e verificação de autenticidade de origem e/ou emissão.

(Revogado pela Portaria DENATRAN/SE Nº 177 DE 08/10/2015):

O Departamento Nacional de Trânsito - DENATRAN, no uso das atribuições legais que lhe são conferidas pelo artigo 19, incisos I, VI e VII, da Lei nº 9.503, de 23 de setembro de 1997, que instituiu o Código de Trânsito Brasileiro - CTB;

Considerando que a utilização do código de segurança cifrado inserido em códigos bidimensionais de reposta rápida dará uma maior segurança digital aos documentos em que for aplicado.

Considerando que o código de resposta rápida permitirá a validação presencial dos documentos através do uso de uma técnica segura, que utiliza os dados dos documentos, cifragem e o Certificado Digital Padrão ICP-Brasil para sua geração.

Considerando o que consta do processo administrativo nº 80000.015736/2012-63,

Resolve:

Art. 1º Regulamentar o processo de credenciamento de empresas de tecnologia para geração de códigos de segurança cifrados (CSC) inseridos em códigos bidimensionais de resposta rápida a serem impressos em documentos e certificados emitidos em conformidade com as Resoluções do CONTRAN e Portarias do DENATRAN, para garantia e verificação de autenticidade de origem e/ou emissão.

Art. 2º Por ocasião da solicitação de credenciamento junto ao DENATRAN, a empresa de tecnologia deverá comprovar que dispõe de software específico para a finalidade descrita nesta norma, com as integrações sistêmicas necessárias à operação e ao funcionamento junto às gráficas de segurança, que será comprovado pelo DENATRAN.

§ 1º A solução deverá utilizar o certificado digital fornecido pelo DENATRAN e armazenado em dispositivo criptográfico homologado pelo ITI - Instituto Nacional de Tecnologia da Informação.

§ 2º Cada código de segurança cifrado gerado com as chaves privadas do DENATRAN deverá ter suas chaves públicas disponibilizadas para o processo de leitura e validação pela fiscalização.

§ 3º O processo de leitura e validação pela fiscalização deverá permitir a verificação de autenticidade, origem e emissão em documentos impressos, que possam ser validados, on line ou off line, através de leitura em dispositivos eletrônicos com câmera digital, tais como telefones inteligentes - smartphones, tablets ou computadores pessoais.

Art. 3º Para a geração do código de segurança cifrado, é necessária a utilização do Certificado Digital Padrão ICP-Brasil para o processo de assinatura digital dos dados dos documentos, incluindo o par de chaves criptográficas para o processo de cifragem.

Parágrafo único. Para cada código de segurança cifrado (CSC) gerado, deverá ser armazenado o envelope da assinatura digital, no formato XML Advanced Electronic Signatures (XAdES) e em conformidade com o Padrão ICP-Brasil, possuindo todos os elementos comprobatórios para uma perícia, caso seja requerida.

Art. 4º Cabe ao DENATRAN definir os dados de cada documento que serão incluídos no CSC, sendo dispensada a reedição daqueles já estabelecidos em atos do CONTRAN.

Parágrafo único. Por questões de segurança, os dados a serem utilizados na geração do CSC somente serão informados às empresas credenciadas, na forma desta portaria.

Art. 5º A empresa, após credenciada pelo DENATRAN, poderá executar seus serviços junto às empresas gráficas de segurança credenciadas para imprimir, emitir e/ou personalizar documentos regulamentados pelo DENATRAN.

Art. 6º Caso as empresas credenciadas para imprimir, emitir e/ou personalizar documentos regulamentados pelo DENATRAN observem qualquer inconsistência ou outro problema decorrente da prestação de serviços por empresa(s) de tecnologia credenciadas(s) para a emissão de CSC, estas deverão encaminhar ao DENATRAN um documento detalhando o problema.

Art. 7º O DENATRAN poderá aplicar sanções administrativas à empresa credenciada, a qualquer momento, quando comprovar que a empresa deixou de cumprir com as exigências desta Portaria.

Parágrafo único. As sanções administrativas de que trata o caput deste artigo podem ser advertência ou a suspensão temporária do credenciamento, para que a empresa supere eventuais não conformidades apontadas pelo DENATRAN, ou ainda, o descredenciamento da empresa, observado o contraditório e a ampla defesa.

Art. 8º O requerimento de credenciamento a ser apresentado ao DENATRAN deve ser instruído de acordo com o disposto no ANEXO I.

Art. 9º A adoção do código de segurança cifrado (CSC), inserido em código de resposta rápida, nos documentos definidos pelo DENATRAN ou CONTRAN, obedecerá aos prazos estabelecidos nos respectivos atos normativos.

Art. 10. Esta Portaria entra em vigor na data da sua publicação.

MORVAM COTRIM DUARTE

Diretor

ANEXO I

INSCRIÇÃO NO DENATRAN PARA CREDENCIAMENTO DE EMPRESAS DE TECNOLOGIA para GERAçÃO E EmissÃo dE Código de SEGURANÇA CIFRADo (csc)

1. A inscrição para o primeiro credenciamento junto ao DENATRAN será requerida pela empresa interessada, mediante a apresentação dos seguintes documentos:

I - Quanto à habilitação jurídica e regularidade fiscal e trabalhista da empresa:

a) Cópias autenticadas do ato constitutivo, estatuto ou contrato social em vigor, com as respectivas alterações, devidamente registrado no órgão competente, em se tratando de sociedades comerciais, e, no caso de sociedades por ações, acompanhado de ata de eleição de seus atuais administradores, atestando objeto social correlato ao ramo de atividade pertinente;

b) Cópia autenticada do registro comercial, no caso de empresa individual;

c) Cópias autenticadas do ato constitutivo da inscrição do ato constitutivo,no caso de sociedades civis, acompanhada de prova de diretoria em exercício;

d) Cópias autenticadas do decreto de autorização, em se tratando de empresa ou sociedade estrangeira em funcionamento no País, e ato de registro ou autorização para funcionamento expedido pelo órgão competente, quando a atividade assim o exigir;

e) Inscrição no Cadastro Nacional de Pessoas Jurídicas (CNPJ/MF), emitida a no máximo 30 (trinta) dias;

f) Prova de inscrição no cadastro de contribuintes estadual ou municipal, houver, relativo ao domicílio ou sede do licitante, pertinente ao seu ramo de atividade e compatível com o objeto contratual;

g) Prova de regularidade para com a Fazenda Federal, Estadual e Municipal do domicílio ou sede do licitante, ou outra equivalente, na forma da lei;

h) Prova de regularidade relativa à Seguridade Social e ao Fundo de Garantia por Tempo de Serviço (FGTS), demonstrando situação regular no cumprimento dos encargos sociais instituídos por lei;

i) Prova de inexistência de débitos inadimplidos perante a Justiça do Trabalho, mediante a apresentação de certidão negativa, nos termos do Título VII -A da Consolidação das Leis do Trabalho, aprovada pelo Decreto-Lei nº 5.452, de 1º de maio de 1943;

j) Termo de responsabilidade e compromisso de desempenho das atividades propostas dentro dos padrões técnicos especificados nesta Portaria; e

k) Declaração de que a empresa não realiza trabalho noturno, perigoso ou insalubre com menores de dezoito e de qualquer trabalho com menores de dezesseis anos, salvo na condição de aprendiz, a partir de quatorze anos, conforme disposto no inciso XXXIII do art. 7º da Constituição Federal;

II - Quanto à Capacidade Técnica da empresa.

a) Descrição completa do fluxo de geração e emissão dos códigos de seguranças que serão cifrados e inseridos no código bidimensional de resposta rápida.

b) Atestados de capacidade técnica fornecido por entidade pública ou privada com as seguintes características:

i) Capacidade e experiência no desenvolvimento de sistemas;

ii) Capacidade de desenvolvimento de sistemas com o uso da infraestrutura de chaves públicas padrão ICP-Brasil

iii) Capacidade e experiência na área de segurança de redes;

iv) Capacidade e experiência em melhores práticas (ITIL);

v) Capacidade e experiência com suporte técnico.

c) Designação do coordenador com apresentação de currículo e documentos que comprovem:

i) Conhecimentos com gestão de projetos de segurança, sistemas, banco de dados redes e suporte;

ii) Certificação em melhores práticas (ITIL, COBIT);

iii) Conhecimentos técnicos em segurança da informação e desenvolvimentos de sistemas;

iv) Conhecimento técnico de Certificação Digital e de soluções que utilizam a infraestrutura de chaves públicas Padrão ICPBrasil

v) Nível superior completo, sendo aceito os cursos de Análise de sistemas, Tecnologia em processamentos de dados ou engenharia de software;

vi) Mínimo de 12 (doze) anos de experiência comprovada.

d) Comprovação que possui e mantêm seus ambientes de desenvolvimento e produção em data center com 99,8% de disponibilidade com:

i) Suporte 365 x 24 x 7;

ii) Capacidade de expansão a qualquer momento;

iii) Altos níveis de segurança, tanto física como lógica;

iv) Redundância de todas as fontes e de conectividade; e

v) Certificação TierIII, ISO 9001/2008 e Comptia plus security ou ISO 27001.

e) Indicação de um ou mais profissionais que, somados, comprovem o atendimento dos requisitos abaixo:

i) Certificação em segurança da informação ou gestão de riscos;

ii) Certificação em governança corporativa ou de TI (ex.: COSO, Cobit, etc);

iii) Certificação em gestão de serviços ITIL;

iv) Certificação de qualidade ou serviços ISO 9000 ou ISO 20000;

v) Conhecimentos operacionais de segurança, sistemas, banco de dados redes e suporte;

vi) Conhecimentos técnicos e operacionais em segurança da informação e desenvolvimentos de sistemas;

vii) Conhecimento prático do uso da Certificação Digital no desenvolvimento de soluções que utilizam a infraestrutura de chaves públicas Padrão ICP-Brasil; e

viii) Possuir experiência comprovada em processos de homologação e manuais de conduta técnica do Instituto Nacional de Tecnologia da Informação - ITI.

2. Cumprida a etapa de apresentação dos documentos listados no item 1, a empresa interessada no credenciamento será vistoriada para a verificação das informações fornecidas, referentes à documentação apresentada e ao processo de geração e emissão dos códigos de segurança cifrados para serem inseridos em códigos bidimensionais de resposta rápida, obedecendo aos seguintes procedimentos:

a) Conferência da utilização do Certificado Digital Padrão ICP-Brasil armazenado em HSM para geração dos códigos de segurança cifrados;

b) Avaliação se a integridade, validade, cadeia de emissão e lista de certificados revogados está sendo verificada a cada assinatura realizada pelo Certificado Digital Padrão ICP-Brasil;

c) Avaliação do processo de integração que será disponibilizado para as gráficas de segurança, devendo estar disponível para implantação imediata; e

d) Geração de 10 códigos de segurança cifrados e inseridos em código de resposta rápida com dados fornecidos à comissão de credenciamento e lido pela aplicação que possui a chave pública.

3. Para fins de vistoria, conforme preconiza o item 2, será formada Comissão de Credenciamento, composta por, no mínimo, 2 (dois) servidores do DENATRAN, quando se tratar de primeiro credenciamento e; 1 (um) servidor do DENATRAN, quando se tratar de renovação de credenciamento.

4. Após as transações serem homologadas pelo SERPRO, para a empresa requerente de primeiro credenciamento, a Comissão de Homologação formada pelo DENATRAN, realizará vistoria da empresa requisitante para comprovação de sua condição para geração e emissão do Código de Segurança Cifrado (CSC) que será inserido no código bidimensional de resposta rápida.

5. Quando se tratar de pedido de renovação de credenciamento de empresa já credenciada, deverá ser enviado ao DENATRAN um lote com 10 códigos de segurança cifrados (CSC), inseridos em códigos bidimensionais de resposta rápida, para serem lidos e aprovados pela Comissão de Renovação do Credenciamento.

6. O pedido para renovação de credenciamento junto ao DENATRAN será requerido pela empresa interessada, mediante a apresentação dos seguintes documentos:

6.1. Quanto à regularidade fiscal da empresa.

a) Cópias autenticadas de alteração, se houver, do contrato social, devidamente registrada no órgão competente, em se tratando de sociedade comerciais, e, no caso de sociedades por ações, acompanhado de ata de eleição de seus atuais administradores;

b) Cópias autenticadas de alterações, se houver, do ato constitutivo, no caso de sociedade civis, acompanhada de prova de diretoria em exercício;

c) Inscrição no Cadastro Nacional de Pessoas Jurídicas (CNPJ/MF), emitida a no máximo 30 (trinta) dias;

d) Prova de regularidade para com a Fazenda Federal, Estadual e Municipal do domicílio ou sede do licitante, ou outra equivalente, na forma da lei;

e) Prova de regularidade relativa à Seguridade Social e ao Fundo de Garantia por Tempo de Serviço (FGTS), demonstrando situação regular no cumprimentos dos encargos sociais instituídos por lei; e

f) Prova de inexistência de débitos inadimplidos perante a Justiça do trabalho, mediante a apresentação de certidão negativa, nos termos do Título VII -A da Consolidação das Leis do Trabalho, aprovada pelo Decreto-Lei nº 5.452, de 1º de maio de 1943.

6.2. Cumprida a etapa de apresentação dos documentos listados no item 6.1, a empresa interessada na renovação de credenciamento será vistoriada por um servidor do DENATRAN, para a verificação das informações fornecidas, referentes à documentação apresentada e ao processo de geração e emissão dos códigos de segurança cifrados para serem inseridos em códigos bidimensionais de resposta rápida.